Durante um exercício de tarde-noite da equipe vermelha, pesquisadores Um agente de IA baseado em navegador autônomo de um cliente vazou aleatoriamente as credenciais do CTO. O gatilho não era mais do que um único malware escondido dentro de uma página de problemas interna do GitHub. O sistema de código aberto, recentemente $ 17 milhões em uma rodada de sementes e tem feito manchetes no mundo do VC. Observação Div Dia Utilização do Browser levantado Essa prova rápida do conceito expôs um problema muito mais profundo. Enquanto o capital de risco continua a derramar na corrida para tornar os agentes LLM mais rápidos e mais capazes, a segurança continua a ser uma reflexão posterior. Hoje, os agentes autônomos baseados em navegador já têm acesso a caixas de entrada privadas, hotéis de livros e conciliam registros financeiros. A maioria dos agentes de IA corporativos os usam como uma ferramenta (por exemplo, uma interface para coletar dados externos). De acordo com 82% das grandes empresas atualmente executam pelo menos um agente de IA em seus fluxos de trabalho de produção, com 1,3 bilhão de usuários de agentes empresariais previstos para 2028. Pesquisadores de mercado How Hackers Exploit Enterprise AI Agents Como os hackers exploram os agentes de IA corporativos A Zenity Labs, um dos principais fornecedores de segurança e governança de IA da Agentic para empresas, Mais de 3.000 agentes publicamente acessíveis do MS Copilot Studio são implantados por grandes empresas para lidar com consultas de atendimento ao cliente, processar bilhetes de suporte, acessar sistemas CRM internos e executar diversos fluxos de trabalho de negócios. Descoberto A investigação da empresa revelou uma cadeia completa de ataques. , onde as técnicas OSINT foram usadas para mapear e identificar agentes do Copilot Studio publicamente expostos. , elaborando prompts e e-mails cuidadosamente projetados para manipular a lógica de processamento do agente. , como os agentes foram sequestrados sem qualquer interação humana - essencialmente se tornando uma porta de trás automatizada em sistemas empresariais. , onde os atacantes poderiam descarregar bancos de dados CRM inteiros e expor ferramentas internas sensíveis, tudo explorando vulnerabilidades em fluxos de trabalho de agentes que não tinham guarda-chuva adequada. reconnaissance weaponization compromise exfiltration A segurança dos agentes do Copilot Studio falhou porque dependia muito de limites suaves, isto é, de proteções frágeis e de nível de superfície (isto é, instruções para a IA sobre o que deve e não deve fazer, sem controles técnicos). Os agentes foram instruídos em suas prompts a "ajudar apenas clientes legítimos", mas tais regras eram fáceis de contornar. Os escudos prompt projetados para filtrar entradas maliciosas provaram ser ineficazes, enquanto as mensagens do sistema descrevendo "comportamento aceitável" fizeram pouco para impedir ataques elaborados. Criticamente, não houve validação técnica das fontes de entrada que alimentam os agentes, deixando-os abertos à manipulação. Esta e outras explorações de zero cliques de agentes de IA corporativos foram demonstradas no Black Hat USA 2025, com a principal descoberta sendo que Quanto mais autônomo o agente da IA, maior o risco de segurança. . the more autonomous the AI agent, the higher the security risk Como eles começam a agir de forma independente, eles se tornam superfícies de ataque que a maioria das organizações não estão cientes. De acordo com várias fontes, muitos agentes de IA corporativos são propensos a explorar a segurança. Por exemplo, a plataforma Einstein da Salesforce foi uma vez manipulada para redirecionar as comunicações dos clientes para contas de e-mail controladas por atacantes. Os Gemini do Google poderiam ser explorados como uma ameaça de insider, capaz de interceptar conversas confidenciais e disseminar informações falsas. O ataque de hackers desligou as luzes, abriu as lâmpadas e iniciou a caldeira – tudo sem quaisquer comandos dos moradores. Controle From AI Browsers to Enterprise Backdoors De Browsers de IA a Backdoors Enterprise Um novo Guardio descobre que os navegadores de IA, como o Perplexity ou Os utilizadores são suscetíveis a fraudes e divulgações acidentais de dados confidenciais, uma vez que ainda não são capazes de distinguir entre sites e links falsos e reais. Estudo Cometa Dia Em vários testes controlados realizados pela Guardio, os agentes de navegação de IA demonstraram quão facilmente eles poderiam ser manipulados por esquemas fraudulentos – colocando usuários reais em risco. O primeiro experimento examinou como os agentes realizam compras on-line. Um testador abriu um site falso Walmart, e Comet o carregou sem desencadear quaisquer alertas de fraude. O agente completou perfeitamente a tarefa – comprando um Apple Watch. Ainda mais preocupante, o navegador preencheu automaticamente os detalhes de pagamento e endereço de envio, apesar de claras bandeiras vermelhas indicando que o site era uma fraude. Outro teste focado na funcionalidade do e-mail. Os pesquisadores enviaram um e-mail de phishing disfarçado como uma mensagem Wells Fargo contendo um link malicioso. Comet interpretou-o como um pedido legítimo do banco e imediatamente clicou através. Na página falsa, o agente inseriu detalhes bancários sensíveis sem hesitação ou verificação, expondo completamente o usuário ao roubo financeiro. Um terceiro exploit destacou um risco mais sutil: prompts ocultos incorporados diretamente em sites. Essas instruções invisíveis foram executadas pelo agente de IA sem o conhecimento do usuário, permitindo que os atacantes forçassem ações indesejadas, como baixar arquivos maliciosos ou vazar informações confidenciais. Os pesquisadores da Guardio destacam uma tendência preocupante: Os desenvolvedores de navegadores de IA atualmente priorizam a experiência do usuário sobre a segurança robusta. developers of AI browsers currently prioritize user experience over robust security. Na prática, isso significa que os mecanismos de segurança são muitas vezes relegados a ferramentas de terceiros, como o Google Safe Browsing – soluções que são frequentemente inadequadas contra ameaças modernas, impulsionadas pela IA. How to Give Agentic AI a Security-First Mandate Como dar ao Agente AI um primeiro mandato de segurança A abordagem é clara: os sistemas que interpretam e atuam em conteúdo da web ao vivo devem ser construídos sobre um . "security-first" architecture and hard boundaries, i.e., actual technical controls that can't be bypassed through prompt manipulation Pesquisadores que os investidores que canalizam somas de oito dígitos em startups de agência devem agora alocar uma parcela igual de recursos para a segurança – , em e Injeções financeiras na funcionalidade sozinhas já não são suficientes; a segurança deve se tornar um princípio fundamental da arquitetura. Estresse threat modeling formal verification continuous stress testing Os sistemas de agentes devem operar isoladamente: o planejador, o executor e o módulo de credenciais devem existir como processos separados, mutuamente desconfiáveis que se comunicam apenas através de mensagens assinadas e limitadas por tamanho. Verificações de segurança também devem se tornar parte da rotina de engenharia diária: injeções de HTML adversárias e prompts de jailbreak devem ser incorporados diretamente em tubulações de CI / CD, com qualquer liberação de bloqueio de falha única. Ao mesmo tempo, os fornecedores precisam fornecer mais do que os clássicos Software Bills of Materials (SBOMs).Eles devem ser capazes de publicar mapas de risco que indicam claramente quais dados, papéis e permissões um atacante ganharia se o agente fosse comprometido. , que exige transparência tanto sobre os riscos individuais como sobre os impactos sociais mais amplos. Quadro de Gestão de Riscos (AI-RMF) Como no setor bancário, as avaliações independentes da equipe vermelha com a divulgação pública obrigatória de descobertas de alto nível se tornarão um pré-requisito para a confiança e o alinhamento com as práticas internacionais nos EUA e na UE. Caso contrário, o ritmo de adoção da IA agente superará em breve a nossa capacidade de gerenciar seus riscos.
